CN111147526B - 一种跨公网实现多云管控的安全认证方法 - Google Patents
一种跨公网实现多云管控的安全认证方法 Download PDFInfo
- Publication number
- CN111147526B CN111147526B CN202010127056.9A CN202010127056A CN111147526B CN 111147526 B CN111147526 B CN 111147526B CN 202010127056 A CN202010127056 A CN 202010127056A CN 111147526 B CN111147526 B CN 111147526B
- Authority
- CN
- China
- Prior art keywords
- control
- cluster
- management
- cloud computing
- reverse proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种跨公网实现多云管控的安全认证方法,具体为:通过一组反向代理服务器在管控集群和云计算集群之间搭建一个双向认证网络通道;在管控集群内,管控服务直接使用HTTP协议访问反向代理服务;管控集群反向代理服务器在收到请求后,使用自签名的SSL客户端证书通过HTTPS访问云计算集群的反向代理服务器完成对管控集群的认证;同时云计算集群返回自签名的服务端证书,管控集群也使用相同的自签名CA证书,完成对云计算集群的认证;双向认证完成后,云计算集群反向代理服务将HTTPS协议卸载,使用HTTP协议访问目标服务,实现安全管控。本发明可以节省人力财力,更加安全,同时管控服务直接使用HTTP协议访问反向代理服务即可实现管控,管控灵活方便。
Description
技术领域
本发明属于PAAS平台技术领域,具体涉及一种跨公网实现多云管控的安全认证方法。
背景技术
随着时代的进步和技术的发展,网络和通信技术的应用越来越广泛,网络安全问题也越来越突出。PAAS云平台的管控集群在对云计算集群进行管控时,常见的三种场景:创建服务,获取数据,设定任务。这三种场景,都对安全性有着极高的要求。以获取数据为例,如果数据在传输过程中被窃听,可能造成商业机密的泄漏;而如果数据获取接口可以被第三方随意读取,更是带来不可估量的损失。管控集群在对云计算集群进行管控时,在安全认证机制上,面临着挑战:传输使用的密码信息不能泄漏到客户云计算集群;需要同时管理多个云计算集群的安全认证信息,管控集群的管控服务需要在管控不同集群时选择加载对应的证书;管控场景多种多样,需要满足各类执行管控操作服务的需求。
现有技术一般通过申请权威CA认证的SSL证书,通过HTTPS双向认证实现跨公网对云计算集群进行管控。当要管理的云计算集群规模较大时,申请权威证书,除了会带来较大的财务开支,也会带来需要更换过期证书的大量运维成本。
发明内容
为了解决上述问题,本发明提供了一种跨公网实现多云管控的安全认证方法,可以接使用HTTP协议对云计算集群进行管控,可以更加节省人力财力,也更加安全。
本发明的技术方案为:
一种跨公网实现多云管控的安全认证方法,包括管控集群和云计算集群,其特征在于,还包括管控集群反向代理服务和云计算集群反向代理服务,反向服务器可以是Nginx;具体步骤包括:
S1、通过一组反向代理服务器在管控集群的网络边缘和被管控的云计算集群的网络边缘之间搭建一个双向认证网络通道;
S2、在管控集群内,管控服务在内网直接使用HTTP协议访问反向代理服务;
S3、管控集群内的反向代理服务器在收到请求后,使用自签名的SSL客户端证书通过HTTPS协议公网访问云计算集群的反向代理服务器完成对管控集群的认证;
S4、同时云计算集群返回自签名的服务端证书,管控集群也使用相同的自签名CA证书,完成对云计算集群的认证;
S5、双向认证完成后,云计算集群的反向代理服务将HTTPS协议卸载,使用HTTP协议访问目标服务,实现安全管控。
作为优选,管控服务在内网通过HTTP请求中携带X-Portal-Host表明要访问的云计算集群,通过携带X-Portal-Dest表明要访问的云计算集群内具体的服务。
管控集群的认证方法有很多,作为优选,本发明中管控集群的认证通过云计算集群内的反向代理服务器识别管控集群SSL客户端证书的自签名CA证书来完成。SSL证书的校验发生在两个反向代理服务器之间,和其他外部服务之间的调用都是无需加密的,所以SSL证书不需要向权威CA申请来保障公信力,只需要两个反向代理服务器之间互相信任即可。
本发明不需要做证书域名的安全校验,管控集群的反向代理服务只需要同一本SSL客户端证书,即可以实现对所有云计算集群的管控。
作为优选,安全认证方法基于SSL非对称加密的特性,密码可以通过云计算集群的私钥和管控集群的公钥直接计算出来,不需要将密码存储在云计算集群。
作为优选,发明了一种安全认证访问协议,管控服务可以基于安全认证访问协议实现的代码库自动根据提供的协议地址实现安全认证,管控服务无需感知接口是否需要进行安全认证,进一步减少管控服务接入安全认证机制的成本。
作为优选,安全认证访问协议包括domain字段和address字段。
其中,domain字段是云计算集群的入口域名地址,address字段是要访问的目标服务在云计算集群的内部地址。将domain字段带在HTTP请求头的X-Portal-Host上,将address字段带在HTTP请求头的X-Portal-Dest上,向管控集群的安全认证反向代理服务发起HTTP请求即可。该协议实现在管控服务共用的安全认证网络库中,管控服务直接根据请求地址按需实现安全认证。
与现有技术相比,本发明的有益效果体现在:
本发明可以使用同一组自签名的SSL证书实现对多个云计算集群对安全管控,对比使用权威CA认证的SSL证书,运维成本大大下降,可以节省人力财力,也更加安全。本发明免去了管控服务接入HTTPS双向认证协议的成本,直接使用HTTP协议对云计算集群进行管控,而且管理云计算集群的客户端证书,可以对所有管控服务都不可见,证书泄漏风险更小,安全性更高。
附图说明
图1为本发明的场景示意图(多云管控)。
图2为本发明的原理示意图(管控服务对目标服务的管控请求链路)。
图3为本发明的原理示意图(基于安全认证地址实现无感知安全认证)。
具体实施方式
如图2所示,本发明包括管控集群和云计算集群,其特征在于,还包括管控集群反向代理服务和云计算集群反向代理服务,反向服务器可以是Nginx;具体步骤包括:
S1、通过一组反向代理服务器在管控集群的网络边缘和被管控的云计算集群的网络边缘之间搭建一个双向认证网络通道;
S2、在管控集群内,管控服务在内网直接使用HTTP协议访问反向代理服务;
S3、管控集群内的反向代理服务器在收到请求后,使用自签名的SSL客户端证书通过HTTPS协议公网访问云计算集群的反向代理服务器完成对管控集群的认证;
S4、同时云计算集群返回自签名的服务端证书,管控集群也使用相同的自签名CA证书,完成对云计算集群的认证;
S5、双向认证完成后,云计算集群的反向代理服务将HTTPS协议卸载,使用HTTP协议访问目标服务,实现安全管控。
管控服务在内网通过HTTP请求中携带X-Portal-Host表明要访问的云计算集群,通过携带X-Portal-Dest表明要访问的云计算集群内具体的服务。
管控集群的认证方法有很多,本发明中管控集群的认证通过云计算集群内的反向代理服务器识别管控集群SSL客户端证书的自签名CA证书来完成。SSL证书的校验发生在两个反向代理服务器之间,和其他外部服务之间的调用都是无需加密的,所以SSL证书不需要向权威CA申请来保障公信力,只需要两个反向代理服务器之间互相信任即可。
本发明不需要做证书域名的安全校验,管控集群的反向代理服务只需要同一本SSL客户端证书,即可以实现对所有云计算集群的管控。
如图1所示,PaaS云平台的管控集群在对云计算集群进行管控时,常见的三种场景:创建服务,获取数据,设定任务。安全认证方法基于SSL非对称加密的特性,密码可以通过云计算集群的私钥和管控集群的公钥直接计算出来,不需要将密码存储在云计算集群。本发明绕过了HTTPS协议对证书域名的检查,通过自签名证书代替权威CA认证的证书,一组证书可以管理任意数量的云计算集群;也免去了管控服务接入HTTPS双向认证协议的成本,直接使用HTTP协议对云计算集群进行管控,而且管理云计算集群的客户端证书,可以对所有管控服务都不可见,证书泄漏风险更小,安全性更高。
如图3所示,本发明包括一种安全认证访问协议,管控服务可以基于安全认证访问协议实现的代码库自动根据提供的协议地址实现安全认证,管控服务无需感知接口是否需要进行安全认证,进一步减少管控服务接入安全认证机制的成本。
安全认证访问协议包括domain字段和address字段。当HTTP请求的URL构成如下形式时,进行安全认证代理:inet://<domain>/<address>。
其中,domain字段是云计算集群的入口域名地址,address字段是要访问的目标服务在云计算集群的内部地址。将domain字段带在HTTP请求头的X-Portal-Host上,将address字段带在HTTP请求头的X-Portal-Dest上,向管控集群的安全认证反向代理服务发起HTTP请求即可。该协议实现在管控服务共用的安全认证网络库中,管控服务直接根据请求地址按需实现安全认证。
以反向服务器Nginx为例,对上述本发明实施例作进一步描述:
实施例包括双向SSL证书生成命令和证书部署。双向SSL证书生成命令有:创建ca密钥、创建ca证书、创建服务端密钥、创建服务端证书、创建服务端csr、创建客户端密钥、创建客户端csr、创建客户端证书。证书部署即将CA证书,服务端证书,服务端密钥部署到云计算集群的安全认证反向代理服务器中;将CA证书,客户端证书,客户端密钥部署到管控集群的安全认证反向代理服务器中,且需要开启证书校验,来避免中间人劫持,提高安全性,同时需要携带SNI信息(proxy_ssl_name),便于服务端正确路由到安全认证反向代理服务和进行处理。
Claims (5)
1.一种跨公网实现多云管控的安全认证方法,包括管控集群和云计算集群,其特征在于,还包括管控集群反向代理服务和云计算集群反向代理服务;具体步骤包括:
S1、通过一组反向代理服务器在管控集群的网络边缘和被管控的云计算集群的网络边缘之间搭建一个双向认证网络通道;
S2、在管控集群内,管控服务在内网直接使用HTTP协议访问反向代理服务;
S3、管控集群内的反向代理服务器在收到请求后,使用自签名的SSL客户端证书通过HTTPS协议公网访问云计算集群的反向代理服务器完成对管控集群的认证;
S4、同时云计算集群返回自签名的服务端证书,管控集群也使用相同的自签名CA证书,完成对云计算集群的认证;
S5、双向认证完成后,云计算集群的反向代理服务将HTTPS协议卸载,使用HTTP协议访问目标服务,实现安全管控;
所述管控服务基于安全认证访问协议实现的代码库自动根据提供的协议地址实现安全认证;
所述安全认证访问协议包括domain字段和address字段,所述domain字段是云计算集群的入口域名地址,address字段是要访问的目标服务在云计算集群的内部地址。
2.根据权利要求1所述的一种跨公网实现多云管控的安全认证方法,其特征在于,所述管控服务在内网通过HTTP请求中携带X-Portal-Host表明要访问的云计算集群,通过携带X-Portal-Dest表明要访问的云计算集群内具体的服务。
3.根据权利要求1所述的一种跨公网实现多云管控的安全认证方法,其特征在于,所述管控集群的认证通过云计算集群内的反向代理服务器识别管控集群SSL客户端证书的自签名CA证书来完成。
4.根据权利要求1所述的一种跨公网实现多云管控的安全认证方法,其特征在于,所述安全认证方法基于SSL非对称加密的特性,密码可以通过云计算集群的私钥和管控集群的公钥直接计算出来。
5.根据权利要求1或3所述的一种跨公网实现多云管控的安全认证方法,其特征在于,所述管控集群的反向代理服务用同一本SSL客户端证书实现对所有云计算集群的管控。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2019111405466 | 2019-11-20 | ||
| CN201911140546.6A CN110855700A (zh) | 2019-11-20 | 2019-11-20 | 一种跨公网实现多云管控的安全认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111147526A CN111147526A (zh) | 2020-05-12 |
| CN111147526B true CN111147526B (zh) | 2022-05-31 |
Family
ID=69602777
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911140546.6A Pending CN110855700A (zh) | 2019-11-20 | 2019-11-20 | 一种跨公网实现多云管控的安全认证方法 |
| CN202010127056.9A Active CN111147526B (zh) | 2019-11-20 | 2020-02-28 | 一种跨公网实现多云管控的安全认证方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911140546.6A Pending CN110855700A (zh) | 2019-11-20 | 2019-11-20 | 一种跨公网实现多云管控的安全认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN110855700A (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111404772B (zh) * | 2020-03-09 | 2021-08-31 | 杭州迪普科技股份有限公司 | Ssl代理网关的测试系统和方法 |
| CN111970240B (zh) * | 2020-07-10 | 2023-03-24 | 北京金山云网络技术有限公司 | 集群纳管方法、装置及电子设备 |
| CN111970301B (zh) * | 2020-08-27 | 2022-11-04 | 北京浪潮数据技术有限公司 | 一种容器云平台安全通信系统 |
| CN113612732B (zh) * | 2021-07-06 | 2023-12-26 | 华控清交信息科技(北京)有限公司 | 一种资源调用方法、装置和多方安全计算系统 |
| CN114168922B (zh) * | 2022-02-10 | 2022-07-12 | 亿次网联(杭州)科技有限公司 | 一种基于数字证书的用户ca证书生成方法和系统 |
| CN114900327B (zh) * | 2022-03-31 | 2023-05-26 | 苏州浪潮智能科技有限公司 | 支持国密算法的软负载均衡方法、系统、设备及存储介质 |
| CN116192853B (zh) * | 2023-04-25 | 2023-07-21 | 安元科技股份有限公司 | 一种多集群管理的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1700682A (zh) * | 2004-05-21 | 2005-11-23 | 迈普(四川)通信技术有限公司 | 虚拟域名解析代理方法及系统 |
| CN102905260A (zh) * | 2012-09-18 | 2013-01-30 | 北京天威诚信电子商务服务有限公司 | 移动终端的数据传输的安全与认证系统 |
| CN104270379A (zh) * | 2014-10-14 | 2015-01-07 | 北京蓝汛通信技术有限责任公司 | 基于传输控制协议的https 代理转发方法及装置 |
| CN107483609A (zh) * | 2017-08-31 | 2017-12-15 | 深圳市迅雷网文化有限公司 | 一种网络访问方法、相关设备和系统 |
| CN108337249A (zh) * | 2018-01-19 | 2018-07-27 | 论客科技(广州)有限公司 | 一种数据安全传输方法、系统与装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7360075B2 (en) * | 2001-02-12 | 2008-04-15 | Aventail Corporation, A Wholly Owned Subsidiary Of Sonicwall, Inc. | Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols |
| CN104639534B (zh) * | 2014-12-30 | 2019-02-12 | 北京奇虎科技有限公司 | 网站安全信息的加载方法和浏览器装置 |
-
2019
- 2019-11-20 CN CN201911140546.6A patent/CN110855700A/zh active Pending
-
2020
- 2020-02-28 CN CN202010127056.9A patent/CN111147526B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1700682A (zh) * | 2004-05-21 | 2005-11-23 | 迈普(四川)通信技术有限公司 | 虚拟域名解析代理方法及系统 |
| CN102905260A (zh) * | 2012-09-18 | 2013-01-30 | 北京天威诚信电子商务服务有限公司 | 移动终端的数据传输的安全与认证系统 |
| CN104270379A (zh) * | 2014-10-14 | 2015-01-07 | 北京蓝汛通信技术有限责任公司 | 基于传输控制协议的https 代理转发方法及装置 |
| CN107483609A (zh) * | 2017-08-31 | 2017-12-15 | 深圳市迅雷网文化有限公司 | 一种网络访问方法、相关设备和系统 |
| CN108337249A (zh) * | 2018-01-19 | 2018-07-27 | 论客科技(广州)有限公司 | 一种数据安全传输方法、系统与装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110855700A (zh) | 2020-02-28 |
| CN111147526A (zh) | 2020-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111147526B (zh) | 一种跨公网实现多云管控的安全认证方法 | |
| US7526640B2 (en) | System and method for automatic negotiation of a security protocol | |
| CN110581854B (zh) | 基于区块链的智能终端安全通信方法 | |
| US9578003B2 (en) | Determining whether to use a local authentication server | |
| US20230336549A1 (en) | Identity defined secure connect | |
| EP3633949B1 (en) | Method and system for performing ssl handshake | |
| US11303633B1 (en) | Identity security gateway agent | |
| CN101714918A (zh) | 一种登录vpn的安全系统以及登录vpn的安全方法 | |
| CN110856174B (zh) | 一种接入认证系统、方法、装置、计算机设备和存储介质 | |
| US9325697B2 (en) | Provisioning and managing certificates for accessing secure services in network | |
| WO2017173966A1 (zh) | 一种录播控制方法及装置 | |
| AU2018287525A1 (en) | Systems and methods for data encryption for cloud services | |
| CN113595847B (zh) | 远程接入方法、系统、设备和介质 | |
| CN106535089B (zh) | 机器对机器虚拟私有网络 | |
| CN109150800A (zh) | 一种登录访问方法、系统和存储介质 | |
| CN114697061A (zh) | 接入控制方法、装置、网络侧设备、终端及区块链节点 | |
| US11611541B2 (en) | Secure method to replicate on-premise secrets in a cloud environment | |
| US20050097322A1 (en) | Distributed authentication framework stack | |
| CN104270368A (zh) | 认证方法、认证服务器和认证系统 | |
| EP3935534B1 (en) | Multi-way trust formation in a distributed system | |
| CN114640512B (zh) | 安全服务系统、访问控制方法和计算机可读存储介质 | |
| WO2014086652A1 (en) | Method of allowing communication between a secure element and a server | |
| CN116419220A (zh) | 认证和/或密钥管理方法、第一设备、终端及通信设备 | |
| CN115361194A (zh) | 一种国密标准下的隐私计算网络的身份认证方法及系统 | |
| CN117240457A (zh) | 一种基于第三方基础设施的密码计算服务方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |